Компания Microsoft связала хак-группу Knotweed с австрийским поставщиком шпионского ПО, компанией DSIRF, также зачастую выступающей в роли кибернаемника. Исследователи установили, что Knotweed атакует европейские и центральноамериканские организации с помощью вредоносного инструментария Subzero.
На официальном сайте DSIRF рекламирует себя как компанию, которая занимается аналитикой, киберкриминалистикой, а также разведкой, связанной с данными. Однако Microsoft связывает эту компанию с малварью Subzero, которую клиенты DSIRF могут использовать для взлома интересующих их телефонов, компьютеров, сетевых устройств и так далее.
Ранее, изучая атаки Knotweed, ИБ-компания RiskIQ тоже обнаружила, что инфраструктура, обслуживающая вредоносное ПО с февраля 2020 года, может быть связана с DSIRF, включая официальный сайт и домены компании, которые, вероятно, использовались для отладки и подготовки Subzero к работе.
Теперь же аналитики Microsoft Threat Intelligence Center (MSTIC) пишут о множественных связях между DSIRF и вредоносными инструментами, которые используются в атаках Knotweed. В частности, речь идет о C&C-инфраструктуре, используемой малварью; связанной с DSIRF учетной записи GitHub, которая использовалась в одной из атак; сертификате подписи кода, который был выдан DSIRF и применялся для подписи эксплоита; и других сообщениях, которые напрямую связывали Subzero с DSIRF.
Некоторые атаки Knotweed, изученные Microsoft, были нацелены на юридические фирмы, банки и консалтинговые организации по всему миру, включая Австрию, Великобританию и Панаму.
«В рамках исследования этого вредоносного ПО и общения Microsoft с пострадавшими от Subzero выяснилось, что жертвы не заказывали пентестинг или редтиминг, а это подтверждает, что это была несанкционированная и вредоносная деятельность», — пишут эксперты Microsoft.
На скомпрометированных устройствах злоумышленники разворачивали Corelump, основную полезную нагрузку, которая запускалась из памяти, чтобы избежать обнаружения, а также Jumplump, сильно обфусцированный загрузчик, который скачивал и загружал Corelump в память.
Основной пейлоад Subzero обладает множество возможностей, включая перехват нажатий клавиш, захват экрана, хищение данных, а также запуск удаленных шеллов и произвольных плагинов, загруженных с управляющего сервера.
Во взломанных системах, где Knotweed разворачивала свою малварь, Microsoft наблюдала различные последствия взлома, в том числе:
- установку UseLogonCredential в значение «1», чтобы включить учетные данные в формате простого текста;
- сбор учетных данных посредством comsvcs.dll;
- попытку доступа к электронным письмам с дампом учетных данных с IP-адреса Knotweed;
- использование Curl для загрузки инструментов Knotweed с общедоступных файловых ресурсов, включая vultrobjects[.]com;
- запуск скриптов PowerShell непосредственно с GitHub и учетной записи, связанной с DSIRF.
Среди 0-day уязвимостей, которые применяла в своих кампаниях Knotweed, Microsoft выделяет недавно исправленную проблему CVE-2022-22047, которая помогла злоумышленникам повысить привилегии, покинуть песочницу и добиться выполнения кода на уровне системы.
Кроме того, в прошлом году Knotweed использовала цепочку эксплоитов, состоящую из двух уязвимостей повышения привилегий в Windows (CVE-2021-31199 и CVE-2021-31201) в сочетании с эксплоитом для уязвимости в Adobe Reader (CVE-2021-28550). Все эти баги были исправлены в июне 2021 года.
Также в 2021 году группировку связывали с эксплуатацией четвертой уязвимости нулевого дня нулевого дня — повышения привилегий в Windows Update Medic Service (CVE-2021-36948). Этот баг использовался принудительной загрузки произвольного подписанного DLL.
«Чтобы ограничить эти атаки, мы выпустили обновление, которое призвано уменьшить эксплуатацию уязвимостей, а также опубликовали сигнатуры вредоносных программ, что защитит пользователей Windows от эксплоитов Knotweed, применяющихся для доставки вредоносного ПО, — пишут представители Microsoft. — Мы все чаще наблюдаем, как компании частного сектора, занимающиеся наступательной безопасностью, продают свои инструменты авторитарным режимам, которые действуют вразрез с буквой закона и нормами прав человека, и применяют их для атак на правозащитников, журналистов, диссидентов и других представителей гражданского общества».
